Безопасность банковских системПри создании своих электронных систем банкам необходимо уделить как можно больше внимания защите и обеспечению их безопасности. Обычно различается внутренняя и внешняя безопасность. Внутренняя безопасность обязана обеспечивать целостность программ и данных и нормальную работу всей системы. Внешняя должна защищать от любых угрожающих сбоем в системе проникновений. В настоящее время существуют два подхода к построению защиты банковских систем:

  • комплексный подход объединяет разнообразные методы противодействия угрозам;
  • фрагментарный подход, т. е. противодействие определенным угрозам (антивирусные средства и т. п.).

Комплексный подход применяется для защиты крупных систем (например, международные межбанковские сети). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована <Оранжевая книга>, в которой приводился свод правил и норм, а также основные понятия защищенности информационно-вычислительных систем. В дальнейшем эта книга превратилась в настоящее <руководство к действию> для специалистов по защите информации. В ней определяются такие понятия как:

1. Политика безопасности — совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения, распределения критичной информации.

Политика безопасности определяет:

1.1. Цели, задачи, приоритеты системы безопасности.

1.2. Гарантированный минимальный уровень защиты.

1.3. Обязанности персонала по обеспечению защиты.

1.4. Санкции за нарушение защиты.

1.5. Области действия отдельных подсистем.

2. Анализ риска состоит из нескольких этапов:

2.1. Описание состава системы (т. е. документация, аппаратные средства, данные, персонал и т. д.).

2.2. Определение уязвимых мест по каждому элементу системы.

2.3. Оценка вероятности реализации угроз.

2.4. Оценка ожидаемых размеров потерь.

2.5. Анализ методов и средств защиты.

2.6. Оценка оптимальности предлагаемых мер. Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным аспектом при этом является разбивка информации на категории. Наиболее простой метод категорирования информации следующий:

  • конфиденциальная информация, доступ к которой строго ограничен;
  • открытая информация, доступ к которой посторонних не связан с материальными и другими потерями.

Для деятельности коммерческого банка такой градации вполне достаточно.

Наиболее распространенными угрозами безопасности являются:

  • несанкционированный доступ, который заключается в получении пользователем доступа к объекту, на который нет разрешения;
  • <взлом системы> — умышленное проникновение, основную нагрузку защиты в этих случаях несет программа входа;
  • <маскарад> — выполнение каких-либо действий одним пользователем банковской системы от имени другого;
  • вирусные программы — воздействие на систему специально созданными программами, которые сбивают процесс обработки информации, и т. д.

В зависимости от существующих угроз различают следующие направления защиты банковских электронных систем:

  1. Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения.
  2. Защита информационных ресурсов от несанкционированного использования.
  3. Защита информационных ресурсов от несанкционированного доступа.
  4. Защита информации в каналах связи и узлах коммутации (блокирует угрозу <подслушивания>).
  5. Защита юридической значимости электронных документов.
  6. Защита систем от вирусов.

Существуют различные программно-технические средства защиты.

К классу технических средств относятся: средства физической защиты территорий, сети электропитания; аппаратные и аппаратно-программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы.

К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защиты, программы восстановления и резервного хранения информации.

Руководящие документы в области защиты информации разработаны в России Государственной технической комиссией (ГТК) при Президенте РФ. Для коммерческих структурой документы носят рекомендательный характер, а в государственном секторе и при содержании информации, относящейся к государственной тайне, они обязательны к исполнению. Сегодня хороших технологий защиты данных вполне хватает, но постоянно появляются новые. Компания Intel, процессорами которой оснащены 85 % всех персональных компьютеров в мире, объявила, что скоро начнет выпускать чипы, в которых данные будут защищаться на аппаратном уровне, автоматически. США установили ограничения на экспорт мощных шифровальных технологий, в России такими технологиями вообще нельзя пользоваться без разрешения ФАПСИ (Федерального агентства правительственной связи и информации при Президенте РФ). Ни западных, ни русских сертифицированных программ защиты платежей через Интернет пока нет. В общем, проблем достаточно, но виртуальная экономика не может не развиваться. Любые платежи и банковские услуги дома выгодны для клиентов и для банков, поскольку себестоимость электронных транзакций в несколько раз ниже обычных. Это шанс для российских банков стать известными на международном уровне и получить мировое признание.